[发明专利]防止windows系统服务描述表被篡改的系统和方法

权利要求书

1.一种防止windows操作系统下系统服务描述表被篡改的系统，其特征是包括如下模块：

CPU虚拟化驱动模块，用于分配硬件虚拟化数据结构所需的内存，设置CPU寄存器的标志位、填充虚拟机控制块指明拦截内存操作、从通信驱动模块获取系统服务描述表的内存地址空间范围、让当前操作系统作为虚拟机运行在虚拟CPU上；拦截写入系统服务描述表地址范围的内存指令，让该内存写入失败；

通信驱动模块，用于获取当前操作系统的系统服务描述表的起始内存地址和内存地址范围，然后保存该地址，启动CPU虚拟化驱动模块和主服务进程模块的请求消息监听；

主服务进程模块，用于安装CPU虚拟化驱动模块和通信驱动模块，卸载两个模块和自身，与通信驱动模块进行通信获取篡改系统服务描述表的拦截日志。

2.根据权利要求1所述的防止windows操作系统下系统服务描述表被篡改的系统，其特征是：所述的硬件虚拟化数据结构包括最高特权进入区和虚拟机控制块。

3.根据权利要求1或2所述的防止windows操作系统下系统服务描述表被篡改的系统，其特征是：所述的通信驱动模块启动CPU虚拟化驱动模块和主服务进程模块的请求消息监听后，一面等待CPU虚拟化模块发来的请求消息，包括获取系统服务描述表地址消息和已拦截日志消息，一面等待主服务进程模块发来的获取拦截日志消息，如果是CPU虚拟化模块发来的已拦截日志消息，它将消息缓存在日志链表中。

4.一种防止windows操作系统下系统服务描述表被篡改的方法，其特征是在于包括如下步骤：

1）主服务进程模块初始化时加载通信驱动模块和CPU虚拟化驱动模块；

2）通信驱动模块运行后，获取当前操作系统的系统服务描述表的起始内存地址和内存地址范围，然后保存该地址；启动CPU虚拟化驱动模块和主服务进程模块的请求消息监听；

3）CPU虚拟化驱动模块运行后，依次执行分配硬件虚拟化数据结构所需的内存，设置CPU寄存器的标志位、填充虚拟机控制块指明拦截内存操作、从通信驱动模块获取系统服务描述表的内存地址空间范围、让当前操作系统作为虚拟机运行在虚拟CPU上；

4) CPU虚拟化驱动模块在拦截到每条指令后，如果是内存写入指令且写入的是SSDT的地址范围，则让该内存写入失败

5) 通信驱动模块获得CPU虚拟化模块发来的已拦截日志消息，并将消息缓存在日志链表中；

6）通信驱动模块接收主服务进程模块发来的获取拦截日志消息，将消息从日志链表中取出，并返回给主服务进程模块。

5.根据权利要求4所述的防止windows操作系统下系统服务描述表被篡改的方法，其特征是：所述的CPU虚拟化驱动模块采用内核驱动的方式实现，由主服务进程安装，随操作系统运行自动运行；CPU以ROOT模式运行CPU虚拟化驱动模块的代码，具有最高的权限。

6.根据权利要求5所述的防止windows操作系统下系统服务描述表被篡改的方法，其特征是：通信驱动模块采用内核驱动的方式实现，由主服务进程安装，随操作系统运行自动运行，通信驱动模块的权限低于CPU虚拟化驱动模块，和其它操作系统内核代码相同。